基本情報 令和元年度 秋期 問69：ストラテジ系に関する問題

答えは d です（資料上のラベルに従う）。

システム監査人は「見るだけの人」。実際に運用したり、規則を作ったりするのは現場の仕事です。

例えると、学校の試験監督がテストを解いたり問題を作ったりはしないですよね。それと同じで、監査人は「チェック専門」。

👉 覚え方：監査人＝ルール作成や実施はせず、評価だけ。

ほかの選択肢：管理台帳作成・方針制定・運用実施はどれも現場の役割で、監査人がやると独立性が失われる。

なぜこれが正解か

正解は d（資料上のラベル）。システム監査人は独立性・客観性を保つため、被監査側の業務（規程制定、管理台帳作成、運用実施）を自らは行わない。監査人の本来業務は閲覧・調査・評価・報告であり、規程や台帳を作るのは情報システム部門等の現業側。

各選択肢の解説

• 管理台帳を作成・保管：現業の業務。監査人が作成すると自己の作業を監査することになり独立性喪失。
• 管理規程を閲覧：監査人の典型業務（証跡収集）。これは適切。
• 管理方針を制定：経営層・現業の業務。
• 運用手続を実施：現業の業務。

覚え方・ひっかけ注意

システム監査人のやってよいこと／やってはいけないこと：

• やってよい：閲覧、調査、ヒアリング、評価、報告、助言（独立性を損なわない範囲）
• やってはいけない：規程作成、運用実施、システム変更、自分の領域の自己監査

「監査人が制定・作成・実施」と書かれていたら独立性違反の可能性大。

理論的背景

システム監査基準（経済産業省、2018年改訂）は監査人の独立性・客観性・倫理を最重要要件とし、ISACA（情報システム監査統制協会）のITAF（Information Technology Assurance Framework）、CISA倫理コード、IIA（内部監査人協会）の国際基準（IPPF）でも共通の原則として位置づけられる。

独立性の3レベル

1. 組織的独立性：監査対象部門に所属しない、人事・予算上独立

2. 身分上独立性：監査人個人が利害関係を持たない

3. 精神的独立性：客観的判断を妨げる偏見を持たない

監査の本質業務

• 証跡収集：ログ、台帳、規程、契約書のレビュー（閲覧）
• 質問：関係者ヘのヒアリング
• 観察：現場での業務観察
• 再実施：監査人自身が処理を再現して結果検証
• CAAT：データ抽出・分析ツールでの分析
• サンプリング：母集団から統計的に抽出して検証
• 評価：基準との比較、不備の特定
• 報告：監査報告書作成、改善勧告

監査人がやってはいけないこと

• 規程作成：自己が作成した規程を自己監査することになる（自己査閲の脅威）
• 運用実施：被監査側の業務を行うと利害相反
• システム変更：監査対象を変更する権限を持つと独立性喪失
• コンサルティングと監査の同時提供：J-SOX、SOX法で厳格分離

アクセス制御監査の具体項目

• アクセス権限管理：付与・変更・削除のプロセス、申請・承認フロー
• 権限の最小化：Need-to-Know、最小権限原則の遵守
• 特権ユーザ管理：root、Administrator、DBA等の使用ログ
• アクセスログ：取得・保管・改ざん防止・定期レビュー
• アクセス権の棚卸：定期的なレビューと不要権限の削除
• 退職者・異動者の権限：即時の削除・変更
• 物理アクセス：入退室管理、サーバルーム、執務エリア
• 論理アクセス：認証方式、MFA、SSO

試験での位置づけ

基本情報・応用情報・システム監査技術者で必出。直近はサイバーセキュリティ経営、クラウドガバナンス、サプライチェーン監査と絡めた出題が増加。

選択肢の発展補足

3線防衛（Three Lines of Defense）モデルでは①現業（自己統制）②リスク管理・コンプライアンス③内部監査の3層で組織防衛を構成し、監査人は第3線として独立性を保ちつつ第1・2線の有効性を評価する。SOC 2 Type II（AICPA SSAE 18）はサービス組織がトラストサービス基準（Security, Availability, Processing Integrity, Confidentiality, Privacy）に対する統制有効性を、独立した会計士事務所に監査させる仕組みで、現代SaaSビジネスの信頼基盤。